La URL desconocida muestra mi sitio web

6

Tengo un sitio web en enlace . Acabo de descubrir que recibo solicitudes de la URL enlace con el que no tengo afiliación. Al cargar canadaehtees.com en mi navegador, aparece una advertencia sobre un certificado SSL no válido. Si procedo de todos modos, el sitio que se muestra se ve y se comporta exactamente como fastslots.co y todas las solicitudes que se realicen allí van a mi servidor. Sin embargo, la URL permanece en canadaehtees.com.

Mi sitio está escrito en Node.js , y no estoy usando un proxy. Estoy redirigiendo todas las solicitudes que usan HTTP o que comienzan con www a mi sitio usando HTTPS.

No estoy seguro de qué es lo mejor que se puede hacer. Obviamente, puedo devolver una página de error si recibo una solicitud donde la URL no coincide con fastslots.co. Todavía estoy preocupado por lo que está pasando aquí. ¿Alguien sabe?

[ Editar : ahora estoy redirigiendo todas las solicitudes a fastslots.co que tienen un host desconocido (como canadaehtees.com por ejemplo). ¿No es una buena idea?]

    
pregunta Henry 24.10.2014 - 15:53
fuente

3 respuestas

24

He echado un vistazo rápido, y esto parece ser completamente benigno, aunque algo molesto. No es un ataque como Michael sugirió en su respuesta.

Lo que sucedió es que alguien compró un dominio (canadaehtees.com) y señaló los registros DNS para ese dominio a la dirección IP que actualmente aloja su sitio web (fastslots.co). ¿Por qué? Podría ser un simple error, o podría ser que estuvieran en posesión de esa dirección IP antes que usted, dado que su nombre de dominio es un poco más antiguo que el suyo.

Esta es la razón por la que el sitio en ese dominio se ve exactamente igual al tuyo (¡es tuyo!) y obtienes el error de certificado no válido en https (porque el certificado también es tuyo, y no lo es para canadaehtees.com, sino para fastslots.co.)

¿Qué puedes hacer al respecto? Bueno, redirigir como has configurado actualmente es una opción. Le sugiero que cambie la redirección de 302 (temporal) a 301 (permanente) si esta es la solución que desea utilizar a largo plazo.

Otros códigos de estado que podría devolver para hosts desconocidos serían 404 (no encontrados) o 410 (desaparecidos).

La solución más drástica, pero la que debería solucionar el problema de forma permanente sin ningún trabajo adicional de su parte sería mover su sitio a otra IP.

    
respondido por el Xander 24.10.2014 - 19:36
fuente
6

Esto se parece mucho a un sitio web de falsificación de solicitudes entre sitios, que intenta atraer a los visitantes para que ejecuten solicitudes en su sitio sin que sepan que en realidad están enviando solicitudes a su dominio.

Imagina, por ejemplo, que ' enlace ' tiene un botón en su sitio 'apuesta gratuita'. En caso de que un visitante haga clic en ese botón (o desencadene automáticamente el evento de clic sin saberlo a través de javascript), se realiza una solicitud a su sitio donde se coloca una apuesta grande en el nombre del visitante (porque la cookie de autenticación se envía junto, fastslots.co piensa que El usuario es autenticado y acepta la apuesta).

Más información: OWASP CSRF

Para protegerse, puede bloquear todas las solicitudes provenientes de ' enlace ', o implementar otra protección CSRF como el patrón del token del sincronizador. Consulte la hoja de trucos de prevención OWASP para obtener más información al respecto.

    
respondido por el Michael 24.10.2014 - 16:04
fuente
0

Según mi análisis, canadaehtees.com devuelve un HTTP 302 con fastslots.co como destino.

Esto no tiene nada que ver con DNS por los siguientes resultados de nslookup.

 190.10.8.237 - canadaehtees.com
 104.28.{30,31}.27 - fastslots.co

Esto tampoco tiene nada que ver con CSRF o cualquier otra cosa.

Considera halagador que alguien haya comprado un dominio separado solo para redirigir el tráfico a tu sitio web.

    
respondido por el anon 25.10.2014 - 23:02
fuente

Lea otras preguntas en las etiquetas